PSD2 w systemach bankowości elektronicznej

W związku z wdrożeniem Payment Services Directive 2 Dyrektywy Parlamentu Europejskiego i Rady (UE) nr 2015/2366 z dnia 25 listopada 2015 roku (PSD2) w sprawie usług płatniczych w ramach rynku wewnętrznego na banki nakłada się obowiązek wzmocnienia bezpieczeństwa autoryzacji transakcji, tzw. silne uwierzytelnienie klienta. Aby zainicjować płatność konieczna będzie identyfikacja Klienta za pomocą co najmniej 2 niezależnych metod uwierzytelnienia. Dostosowując się do nowych obowiązków w zakresie silnego uwierzytelnieniavd 14 września 2019 r. Bank nie będzie stosował jako środka dostępu do systemu bankowości elektronicznej Tokena RSA -wyświetlającego kod autoryzacyjny. Bank Spółdzielczy w Leżajsku udostępnił metodę autoryzacji przy wykorzystaniu następujących urządzeń autentykacji i autoryzacji:




M-Token Asseco MAA

1. Proces autentykacji
a) Brak sparowanego urządzenia mobilnego. Po wywołaniu strony do logowania użytkownik wprowadza swój identyfikator alfanumeryczny w polu [Numer Identyfikacyjny]. Po użyciu przycisku [DALEJ] wyświetlane jest okno służące do wprowadzenia hasła maskowanego. Wymagane jest podanie losowo wybranych pozycji z hasła, pozostałe znaki z hasła są ukryte. Jako kolejny krok rozpoczyna się proces parowania urządzenia. Po wyborze przycisku [POSIADAM APLIKACJĘ] zostanie wyświetlona formatka z drugim krokiem procesu, na której prezentowany jest kod aktywacyjny, który należy wprowadzić w aplikacji mobilnej Asseco MAA podczas rejestracji urządzenia. Pasek postępu odlicza czas pozostały na parowanie. Proces parowania wymaga wprowadzenia otrzymanego kodu SMS oraz samodzielnego ustalenia kodu PIN do aplikacji Asseco MAA. Po sparowaniu urządzenia w aplikacji mobilnej Asseco MAA i systemie bankowości internetowej prezentowane jest potwierdzenie poprawnego parowania. Na sparowane urządzenie zostaje wysłane powiadomienie PUSH z informacją o autoryzacji logowania do systemu. Po wyborze banera powiadomienia PUSH system operacyjny przenosi użytkownika do aplikacji Asseco MAA. Wymagane jest zalogowanie do aplikacji Asseco MAA kodem PIN ustawionym podczas rejestracji urządzenia. Po zalogowaniu do aplikacji Asseco MAA na liście autoryzacji znajduje się nowa, aktywna autoryzacja. Po wybraniu autoryzacji zostają wyświetlone jej szczegóły autoryzacji oraz możliwość Odrzucenia lub Akceptacji autoryzacji. Akceptacja autoryzacji wymaga wprowadzenia kodu PIN ustawionego podczas rejestracji urządzenia. Poprawne wprowadzenie kodu PIN kończy proces logowania użytkownika do systemu bankowości internetowej.

b) Sparowane urządzenie mobilne. Po wywołaniu strony do logowania użytkownik wprowadza swój identyfikator alfanumeryczny w polu [Numer Identyfikacyjny]. Po użyciu przycisku [DALEJ] wyświetlane jest okno służące do wprowadzenia hasła maskowanego. Wymagane jest podanie losowo wybranych pozycji z hasła, pozostałe znaki z hasła są ukryte. Po wybraniu [ZALOGUJ] zostaje wyświetlony komunikat informujący o konieczności potwierdzenia logowania za pomocą aplikacji Asseco MAA zainstalowanej na sparowanym urządzeniu. Na sparowane urządzenie zostaje wysłane powiadomienie PUSH z informacją o autoryzacji logowania do systemu. Po wyborze banera powiadomienia PUSH system operacyjny przenosi użytkownika do aplikacji Asseco MAA. Wymagane jest zalogowanie do aplikacji Asseco MAA kodem PIN ustawionym podczas rejestracji urządzenia. Po zalogowaniu do aplikacji Asseco MAA na liście autoryzacji znajduje się nowa aktywna autoryzacja. Po wybraniu autoryzacji zostają wyświetlone jej szczegóły autoryzacji oraz możliwość Odrzucenia lub Akceptacji autoryzacji. Akceptacja autoryzacji wymaga wprowadzenia kodu PIN ustawionego podczas rejestracji urządzenia. Poprawne wprowadzenie kodu PIN kończy proces logowania użytkownika do systemu bankowości internetowej.

2. Proces autoryzacji

Użytkownik wybiera opcję autoryzacji dyspozycji w bankowości internetowej i system prezentuje ekran informujący o wysłaniu dyspozycji do autoryzacji na aplikację mobilną Asseco MAA. W tym samym czasie wysyłane jest do aplikacji mobilnej powiadomienie PUSH o nowej dyspozycji do autoryzacji. Asseco MAA wyświetla na urządzeniu mobilnym baner powiadomienia PUSH z informacją o oczekującym powiadomieniu autoryzacyjnym. Użytkownik wybiera baner powiadomienia PUSH, który uruchamia aplikację Asseco MAA. W kolejnym kroku należy zalogować się do Asseco MAA za pomocą kodu PIN zdefiniowanego przez użytkownika w procesie rejestracji urządzenia autoryzującego. Aplikacja mobilna Asseco MAA prezentuje dane dyspozycji do autoryzacji wraz z możliwymi przyciskami [ODRZUĆ] oraz [AKCEPTUJ]. Dodatkowo Asseco MAA prezentuje czas jaki pozostał do potwierdzenia autoryzacji, po upływie którego dyspozycja jest anulowana. W przypadku podjęcia przez użytkownika decyzji o akceptacji dyspozycji, użytkownik weryfikuje wprowadzone dane oraz potwierdza realizację dyspozycji poprzez wprowadzenie poprawnego kodu PIN (zdefiniowanego przez użytkownika w procesie rejestracji urządzenia autoryzującego) oraz wybór przycisku [ZATWIERDŹ]. Zarówno Asseco MAA jak i system bankowości internetowej prezentuje potwierdzenie autoryzacji dyspozycji.




Kod SMS

1. Proces autentykacji
Po wywołaniu strony do logowania użytkownik wprowadza swój identyfikator alfanumeryczny w polu [Numer Identyfikacyjny]. Po użyciu przycisku [DALEJ] wyświetlane jest okno służące do wprowadzenia hasła maskowanego. Po wyborze przycisku [DALEJ], system bankowości internetowej poprosi o podanie kodu SMS wysłanego na wskazany nr telefonu. Pozytywna weryfikacja przez system podanych danych pozwoli na zalogowanie się użytkownika i wyświetlenie ekranu startowego. Negatywna weryfikacja przez system spowoduje wyświetlenie komunikatu o konieczności powrotu do procesu logowania.

2. Proces autoryzacji

Użytkownik wybiera opcję autoryzacji dyspozycji w bankowości internetowej. System bankowości internetowej prezentuje ekran z polem autoryzacyjnym - hasło wykorzystywane w procesie logowania i kod SMS. Poprawne podanie danych i wybór przycisku [AKCEPTUJ] spowoduje przekazanie operacji do realizacji.





Karta mikroprocesorowa i aplikacja SCSA:

1. Proces autentykacji
Proces autentykacji wymaga uruchomienia aplikacji SCSA na komputerze użytkownika bankowości internetowej (w/w aplikację można uruchomić podczas procesu autentykacji do systemu bankowości internetowej) oraz umieszczenia karty mikroprocesorowej w czytniku. Na formatce logowania użytkownik bankowości wprowadzi swój identyfikator (login) a następnie wybierze przycisk [URUCHOM APLIKACJĘ] w celu uruchomiona SCSA (jeśli SCSA jest już uruchomione to następuje wywołanie aplikacji SCSA w celu wprowadzenia kodu PIN-u). W kolejnym kroku zaprezentowany zostanie ekran, na którym należy wprowadzić poprawny kod PIN potwierdzający zalogowanie do SCSA i systemu bankowości internetowej. Po wprowadzeniu prawidłowej wartości kodu PIN w aplikacji SCSA pojawi się potwierdzenie poprawnego logowania.

2. Proces autoryzacji
Proces autoryzacji (podobnie jak i autentykacji) wymaga uruchomienia aplikacji SCSA na komputerze użytkownika bankowości oraz umieszczenia karty mikroprocesorowej w czytniku. Na ekranie akceptowanego zlecenia udostępniona zostanie sekcja umożliwiająca złożenie podpisu za pomocą aplikacji SCSA. Wybór przycisku [PODPISZ] na formatce realizacji zlecenia spowoduje: - wyświetlenie oczekiwania na złożenie autoryzacji na formatce akceptowanego zlecenia, - wyświetlenie szczegółów zlecenia i pola do uzupełnienia kodu PIN-u do karty mikroprocesorowej w aplikacji SCSA. Wprowadzenie prawidłowej wartości kodu PIN i wybór przycisku [PODPISZ] w SCSA kończy proces autoryzacji zlecenia

Informacje o PSD2

Dyrektywa PSD2 otwiera erę otwartej bankowości – wprowadza przepisy wynikające z rozwoju usług płatniczych, pozwala wykorzystać dynamikę rozwoju technologicznego w zakresie płatności elektronicznych i mobilnych. Daje także możliwość kreowania innowacyjnych produktów finansowych. Jest to możliwe dzięki wprowadzeniu nowego typu niezależnych usługodawców na rynku usług płatniczych określanych jako podmiot trzeci (Third Party Provider). Jednostki te, działając na zlecenie Klienta będą oferować nowe usługi w oparciu o informacje pozyskane z systemów bankowości elektronicznej. Jeśli jesteś przedstawicielem TPP, przygotowujesz się do wprowadzenia nowych usług dla naszych Klientów – zapraszamy do współpracy.

Informacje

Dyrektywa PSD2 otwiera erę otwartej bankowości – wprowadza przepisy wynikające z rozwoju usług płatniczych, pozwala wykorzystać dynamikę rozwoju technologicznego w zakresie płatności elektronicznych i mobilnych. Daje także możliwość kreowania innowacyjnych produktów finansowych. Jest to możliwe dzięki wprowadzeniu nowego typu niezależnych usługodawców na rynku usług płatniczych określanych jako podmiot trzeci (Third Party Provider). Jednostki te, działając na zlecenie Klienta będą oferować nowe usługi w oparciu o informacje pozyskane z systemów bankowości elektronicznej. Jeśli jesteś przedstawicielem TPP, przygotowujesz się do wprowadzenia nowych usług dla naszych Klientów – zapraszamy do współpracy.

Dokumentacja Interfejsu

Zgodnie z wymaganiami dyrektywy PSD2 przygotowaliśmy specjalny interfejs, umożliwiający dostęp do rachunków płatniczych, weryfikację dostępności środków i inicjowanie transakcji uprawionym do tego podmiotom TPP. Wybrany przez nas standard interfejsu to PolishAPI wersja 2.1.1.

Streszczenie dokumentacji technicznej interfejsu specjalnego


Prezentujemy Państwu interfejs API utworzony zgodnie z Dyrektywą usług płatniczych (PSD2), którego celem jest udostępnienie bezpiecznego i łatwego w użyciu zestawu usług finansowych udostępnianych przez Bank. Prezentowany interfejs jest zgodny z standardem PolishAPI opracowanym przez Związek Banków Polskich celem implementacji dyrektywy PSD2 na terenie Polski.

Interfejs API został zbudowany zgodnie z najnowszymi standardami technologicznymi z wykorzystaniem mechanizmów REST, OAuth2, JSON oraz bezpiecznego podpisu elektronicznego eIDAS. Interfejs udostępnia zestaw usług służących do uwierzytelniania, autoryzacji, zarządzania zgodami.

Implementacja zawiera usługi z domeny:

  • AIS (Account Information Service) – zestaw usług udostępniających informacje na temat rachunków Klienta,
  • PIS (Payment Initiation Service) – usługi umożliwiające inicjowanie płatności,
  • CAF(Confirmation of the Availability of Funds) - (Confirmation of the Availability of Funds) - usługi potwierdzania dostępności na rachunku płatniczym Płatnika kwoty niezbędnej do wykonania transakcji płatniczej.

Interfejs udostępniony jest dla wszystkich certyfikowanych TPP (Third Party Provider) - podmiotów uprawnionych do dostępu do usług finansowych na podstawie zgód wydanych przez Klienta.

Jeśli potrzebują Państwo dokumentacji technicznej prosimy o kontakt – wypełnienie i przesłanie formularza zamówienia na adres mailowy: info@bslezajsk.pl Po pozytywnej weryfikacji uprawnień TPP bezpłatnie udostępnimy dokumentację techniczną interfejsu.

TPP Zamówienie

Lista usług

Dla potrzeb TPP przygotowaliśmy i uruchomiliśmy specjalne środowisko testowe Sandbox. Odwzorowuje ono funkcjonalność bankowości elektronicznej dostępnej dla naszych Klientów. Dzięki temu już teraz mają Państwo możliwość przeprowadzenia testów integracji interfejsu specjalnego z własnymi systemami. Dostęp do środowiska testowego mogą mieć tylko uprawnione podmioty TPP. Dlatego prosimy o przesłanie wypełnionego formularza zamówienia na adres mailowy: info@bslezajsk.pl Po pozytywnej weryfikacji uprawnień TPP udostępnimy adres Sandobox.

TPP Zamówienie

Od dnia 14.09.2019 roku dla potrzeb TPP przygotowaliśmy i uruchomiliśmy środowisko produkcyjne dla interfejsu specjalnego. Dostęp do środowiska produkcyjnego znajduje się pod adresem https:\\bslezajsk-psd2.cui.pl

Zgłoszenia przeszkód w dostępności interfejsu

Zależy nam na dobrej współpracy i rozszerzeniu oferty dla naszych Klientów o innowacyjne, ułatwiające życie produkty finansowe. Dlatego też, jeśli w fazie testów integracyjnych napotkają Państwo na przeszkody – prosimy o przekazanie informacji. Dołożymy wszelkich starań, aby te problemy rozwiązać. Wypełniony formularz zgłoszenia problemu proszę przesłać na adres mailowy: info@bslezajsk.pl Odpowiemy w najszybszym możliwym terminie, po uprzedniej weryfikacji uprawień TPP.

TPP Zgłoszenie problemu

Przerwy serwisowe
Systemy bankowości elektronicznej, środowisko testowe Sandbox, jak również docelowy interfejs produkcyjny wymagają cyklicznych prac serwisowych. Wiążą się one z krótkim brakiem dostępu do danych zarówno dla TPP jak i naszych Klientów. Informację o planowanych przerwach serwisowych będziemy publikować na tej stronie z wyprzedzeniem.

Na naszej stronie internetowej będziemy publikować kwartalne raporty wydajnościowe interfejsu specjalnego dla TPP i bankowości internetowej, z której korzystają nasi klienci.